Je li Internet Explorer propustio osjetljive informacije?

Spider.io, tvrtka koja posluje kako bi pomogla klijentima razlikovati stvarne posjetitelje web stranica i automatizirani bot aktivnost, tvrdi da su otkrili mana koja utječe na Internet Explorer trenutni Microsoftov vodeći preglednik, inačice od 6 do 10. Ranjivost navodno omogućava praćenje položaja pokazivača miša na bilo kojem mjestu na zaslonu - čak i ako je IE minimiziran.

Spider.io je objavio ranjivost prema tvrtki Microsoft 1. listopada 2012., ali nije bila riješena u najnovijem sigurnosnom ažuriranju za Internet Explorer. Spider.io tvrdi da je ovaj nedostatak aktivno iskorišten i tvrdi da Microsoft Security Research Center (MSRC) priznaje ranjivost, ali nema neposredni plan da se to popravi.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows PC]

Bug u IE može propustiti potencijalno osjetljive informacije

Pitao sam tvrtku Microsoft za njenu poziciju o navodnoj ranjivosti. Glasnogovornik mi je poslao ovaj službeni odgovor: "Trenutno istražujemo ovaj problem, ali do danas nema izvješća o aktivnim eksploatama ili klijentima koji su bili pogođeni. Dostavit ćemo dodatne informacije kako bi postali dostupni i poduzeti odgovarajuće mjere kako bi zaštitili svoje klijente. "

Jason Miller, voditelj istraživanja i razvoja za VMware postavlja pitanje je li problem" bug "ili" značajka ". "Moglo bi se upitati je li to ranjivost ili značajka uvedena u preglednik kako bi se lakše uspostavili mjerni podaci o korištenju. Bez obzira na to, istraživači su dokazali da se ovo "pitanje" može koristiti zlonamjerno. "

Razgovarao sam s tvrtkom Qualys CTO Wolfgang Kandek. Izrazio je zabrinutost zbog posljedica takve ranjivosti za online bankarstvo. Mnoge su banke implementirale virtualne tipkovnice na zaslonu za unos vjerodajnica za račun kao sredstvo izbjegavanja tradicionalnih napada keylogger.

Andrew Storms, direktor sigurnosnih operacija za nCircle, slaže se. "Ovo iskorištavanje čini taj ublažavanje ništavnim - to ima učinak ključnog loggera na virtualnim tipkovnicama. Napadači bi mogli iskoristiti klikove povezane s bankovnim vjerodajnicama koristeći ovaj iskorištavanje, a to nije dobra vijest za 63 milijuna Amerikanaca koji online banke. "

Alex Horan, viši menadžer proizvoda u CORE Security, dodaje da navodno" sigurne "web stranice možda neće biti tako sigurna. "To također pojačava da samo zato što posjećujete YouTube ili New York Times ne znači da su svi sadržaji na toj web stranici u vlasništvu ili kojima upravljaju, a posluživanje zlonamjernih oglasa na pouzdanim mainstream stranicama izvrstan je način otkrivanja vašeg napada na veliki broj korisnika. "

Horan predlaže napuštanje IE-ja sve dok ili ako Microsoft ne popravi problem.

Storms kaže:" Ako je ova ranjivost potvrđena, može potrajati i izuzetak i to je nešto što bi svi željeli izbjeći ovu blagdansku sezonu. "